Autentificarea în doi pași nu este atât de sigură pe cât ai vrea

Autentificarea în doi pași nu este atât de sigură pe cât ai vrea

Un nou raport al Amnesty International arată cum hackerii pot obține foarte ușor sistemul de autentificare în două etape.

Dacă sunteți mai precaut și ați activat caracteristica de securitate în două etape a e-mailului, aflați că este posibil să nu fie suficient de sigur pentru hackeri.

Pentru a rupe mailul dvs. Gmail sau Yahoo,  hackerii  automatizează întregul proces cu o pagină de phishing cerând victimei o parolă și declanșând un sistem care trimite un cod la telefonul victimei. De asemenea, codul este furat și datele sunt folosite pentru a vă conecta la site-ul legitim, astfel încât hackerul să poată prelua controlul asupra contului.

Asta nu înseamnă că nu ar trebui să folosiți un astfel de sistem de securitate, dar nu trebuie să vă încredințați totul. Verificarea în două etape adaugă un nou nivel de securitate, deoarece generează codul pe care trebuie să-l tastați manual, dar nu este sigur 100%.

De exemplu, dacă un hacker compromite un site în care aveți un cont și ați găsit parola, atunci puteți încerca această parolă și pe alte site-uri. Dacă nu aveți autentificare în doi pași, atunci hackerul poate accesa și alte site-uri unde aveți conturi. Dacă aveți autentificare prin SMS, hackerul se va opri probabil.

Raportul Amenesty arată că hackerii au vizat mai mult de o mie de conturi  Google  și Yahoo în Orientul Mijlociu și Africa de Nord în 2017 și 2018. Aceste atacuri provin probabil din țările din Golf, deoarece sunt similare cu atacurile Unitelor Arabe Unite asupra disidenților.

În mod normal, phishingul începe cu o pagină Gmail falsă, care solicită victimei să introducă parola. Odată ce victima intră în parolă, hackerul redirecționează victima către o altă pagină, avertizând că li s-a trimis un cod 2AF prin SMS.

Numărul de telefon din contul dvs. primește doar un SMS, iar victima este rugată să introducă codul respectiv pe site.

Asta nu înseamnă că un hacker vă așteaptă să vă conectați. Întregul proces este automat. Serverele de hackeri fac toată munca grea. Serverele lor iau datele furate ale victimelor și le foloseau pentru a se conecta la site-urile legitime, care apoi generează un cod valid de autentificare.

Serverul hackerului cere codul real primit de victimă și apoi serverul trimite codul bun serviciului legitim. În plus, hackerii creează App Passowrd, o parolă separată care permite terților să acceseze contul de e-mail.

O alternativă viabilă este utilizarea jetoanelor fizice pe care trebuie să le utilizați atunci când vă conectați. Este un stick USB cu o cheie de securitate unică pe care o veți intra într-un PC, Mac sau Chromebook pentru a vă conecta.

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *